La privacidad de los datos es una cuestión compleja en el mundo actual, siempre conectado. Queremos que se proteja nuestra intimidad y, sin embargo, compartimos de buen grado todo tipo de información personal en nuestro afán por conectar con los amigos, comprar productos o hacer reservas para cenar. Al mismo tiempo, las organizaciones que recopilan esta información de los individuos están reconociendo los retos económicos y sociales de protegerla. De hecho, no salvaguardar adecuadamente los datos personales puede afectar negativamente a la reputación de la empresa, a la confianza de los clientes y a la rentabilidad.

¿Qué es el Marco de Privacidad 1.0 del NIST?

Para ayudar a las organizaciones a diseñar mejores prácticas de privacidad, el Instituto Nacional de Normas y Tecnología (NIST) ha publicado recientemente un nuevo marco para mejorar la privacidad a través de la gestión del riesgo empresarial. El organismo ha trabajado con las partes interesadas, tanto públicas como privadas, para crear el Marco de privacidad del NIST 1.0que es una herramienta voluntaria diseñada específicamente para ayudar a las organizaciones:

  • Identificar, evaluar, gestionar y comunicar mejor los riesgos para la privacidad cuando se diseñan o despliegan sistemas, productos y servicios
  • Fomentar el desarrollo de enfoques innovadores para proteger la privacidad de las personas
  • Aumentar la confianza en los sistemas, productos y servicios.

Este marco sigue la estructura de la popular publicación del NIST Marco de ciberseguridady se recomienda utilizar los dos marcos conjuntamente. Ambos marcos se componen de tres partes: Núcleo, Perfiles, y Niveles de aplicación. Cada componente del Marco de Privacidad refuerza la gestión del riesgo para la privacidad a través de los objetivos empresariales, las funciones, las responsabilidades y las actividades de protección de la privacidad.

  • El Núcleo tiene como objetivo permitir un diálogo, desde el nivel ejecutivo hasta el nivel de implementación/operaciones, sobre las actividades importantes de protección de la privacidad y los resultados deseados.
  • El Perfiles tienen como objetivo priorizar y gestionar los resultados y las actividades para alinearse con los valores de privacidad de la organización, las necesidades de negocio y los riesgos, incluyendo los estados actuales y deseados de las actividades específicas de privacidad.
  • Los niveles de aplicación tienen por objeto apoyar la toma de decisiones y la comunicación de la organización sobre los riesgos para la privacidad de los sistemas, productos o servicios de una organización y su capacidad para gestionar dichos riesgos con los procesos y recursos existentes. También pueden utilizarse para comunicar internamente la asignación de recursos necesaria para pasar a un nivel superior o como puntos de referencia generales para medir el progreso en la gestión de los riesgos para la privacidad.

¿Quién puede beneficiarse del Marco de Privacidad del NIST?

Este nuevo marco se ha desarrollado como una guía no técnica de las mejores prácticas de privacidad y seguridad. Y no podría haber llegado en mejor momento, ya que las organizaciones siguen adaptándose a las leyes nuevas y existentes sobre el manejo de datos, como la Ley de Privacidad del Consumidor de California (CCPA), la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) y el Reglamento General de Protección de Datos (GDPR) de la UE.

Incluso si una empresa ya cuenta con una sólida estrategia de seguridad, se recomienda echar un vistazo al nuevo Marco de Privacidad del NIST para identificar posibles lagunas y garantizar el cumplimiento de toda la normativa aplicable relacionada con la privacidad.

Aunque está dirigido principalmente a los miembros de la alta dirección que gestionan los riesgos de la empresa, el Marco de Privacidad guiará a todos los gestores de riesgos para que construyan mejores bases de privacidad al equiparar el riesgo de privacidad con su cartera de riesgos empresariales más amplia.

El Instituto Nacional de Normas y Tecnología es un no-regulatorio de la agencia en el Departamento de Comercio de los EE.UU.ce. Para más información sobre el programa California Consumer Ley de Privacidad, Por favor, descargar Riskonnect's e-libro, Su guía para la CCPA.  Para más información sobre la gestión de riesgos a nivel empresarialel, Por favor, descargar, Charnir un curso para la empresa Gestión de riesgos.